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@ Vorrichtung und Verfahren zum individuellen Filtern 

von uber ein Netzwerk ubertragener Informattonen in 

Form von Anfragen und Antworten, die an ein Nutzerge- 

rat gerichtet sind, mit Nutzerprofilen, wobei in einerh er- 

sten Schritt eine Netzwerkadresse des Nutzergerats dem 

Nutzerprofil anhand der zumindest einmalig ubertrage- 

nen Nutzeridentifikationsdaten zugeordnet wird und in ei- 

nem weiteren Schritt die vom Nutzergerat angeforderten 

und gesendeten Informationen anhand der im Nutzerpro- 
fil gespeicherten Kriterien gefiltert werden. Die Kriterien 

werden durch Regeln bestimmt, die Menigen von Anfra- 
gen und Antworten definieren, die nicht weitergeleitet 

werden, wobei diese Menge durch bekannte Mengenope- 

rationen verkniipft werden konnen. Die Regeln werden 

durch in den Informationen enthaltene Worter, durch Do- 
t main-Namen, durch die Verweilzeit im Internet und/oder 
, . durch die GroBe oder die Art der Informationen be- 
i stimmt. 
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Beschreibung 

Die Erfindung betrifft Vorrichtungen und Verfahren zum 
individuellen Filtern von uber ein Netzwerk iibertragener 
Informationen, die an ein Nutzergerat gerichtet sind. 5 

Aufgrund des starken Wachstums des Internet und seines 
unstrukturierten, unkontrollierbaren Aufbaus findet man 
dort eine Reihe von Informationen, die bestimmten Berufs- 
gruppen oder Personengruppen nicht zuganglich sein soil- 
ten. Insbesondere Kinder sollten keinen Zugang zu Themen 10 
wie Gewalt haben. Auch in Unternehmen besteht ein Bedarf 
den Zugang zum Internet zu kontrollieren und nur Informa- 
tionen bereitzustellen, . die der Erfiillung der Aufgabe des 
Arbeitnehmers dienen konnen. Die primaren Dienste, die 
kontrolliert werden sollen, sind WWW, Email und FTP. Be- 15 
kannte Netzwerkfilter, wie sie von CyberPatrol und Net- 
Nanny angeboten werden, sind lediglich statischer Natur. Es 
ist mit ihnen nicht moglich eine, nutzerspezifische Filterung 
von Informationen vorzunehmeh. Vielmehr weisen sie eine 
Datenbank auf, in der alle Seiten gespeichert sind, auf die 20. 
ein Zugriff nicht zu erfolgen hat bzw. auf die zugegrifTen 
werden kann. Diese Eigenschaft ermoglicht es lediglich 
diese bekannten Filter in groBen Firmennetzwerken einzu- 
setzen, bei denen die Filteranforderungen fur eine groBe 
Nutzerzahl identisch sind. Eine Verwendung bei Internet- 25 
Providem, die eine Vielzahl von unterschiedlichen Nutzern 
aufweisen, die unterschiedliche Anforderung an die Filte- 
rung der Informationen haben, ist hiermit nicht moglich. 

Aufgabe der vorliegenden Erfindung ist es, einen Netz- 
werkfilter bereitzustellen, der unterschiedliche Filterprofile 30 
verwaltet, die einem Nutzer individuellen zugeordnet wer- 
den konnen und deren Regeln je nach Bedarf angepaBt wer- 
den konnen. 

Gelost wird diese Aufgabe durch Vorrichtungen und Ver- 
fahren mit den Merkmalen der Anspriiche 1 und 15, insbe- 35 
sondere durch eine Vorrichtung zum individuellen Filtern 
von iiber ein Netzwerk iibertragener Informationen, die an 
ein Nutzergerat gerichtet sind. Diese Vorrichtung hat minde- 
stens einen Nutzerprofilspeicher, in dem nutzerspezifische 
Filterprofile abgelegt sind. Weiterhin hat sie mindestens ein 40 
Eingabegerat, das die zu filternden Informationen aus dem 
Netzwerk empfangt, und mindestens ein Ausgabegerat, das 
die gefilterten Informationen zum Nutzergerat sendet. Wei- 
terhin hat die Vorrichtung eine Bearbeitungseinheit, die eine 
Netzwerkadresse des Nutzergerats anhand der zumindest 45 
einmalig iibertragenen Nutzeridentifikationsdaten dem nut- 
zerspezifischen Filterprofil zuordnet und die im folgenden 
anhand : des Filterprofils die Informationen aus dem Netz- 
werk, die unmittelbar oder mittelbar an die entsprechenden 
Netzwerkadresse adressiert sind, nach den Kriterien des Fil- 50 
terprofils filtert. 

Das Netzwerk ist vorzugsweise das Internet, wobei die 
Vorrichtung zwischen dem Internet und dem Nutzergerat an- 
geordnet ist. Die Vorrichtung kann sowohl logisch als auch 
physikalisch zwischen dem Nutzergerat und dem Internet 55 
angeordnet sein. Das Eingabegerat, das vorzugsweise eine 
Netzwerkkarte darstellt, ist mit dem Internet verbunden ist, 
um Informationen aus dem Internet zu empfangen. Uber das 
Ausgabegerat werden die gefilterten Ergebnisse aus dem In- 
ternet dann an das Nutzergerat ubermittelt. Hierbei ordnet 60 
die Bearbeitungseinheit anhand der iibertragenen Nutzeri- 
dentifikationsdaten ein nutzerspezifisches Filterprofil der 
IP-Adresse des Nutzergerats zu. Die Bearbeitungseinheit fil- 
tert im folgenden anhand des Filterprofils die Informationen 
aus dem Netzwerk, die unmittelbar oder mittelbar an die 65 
entsprechende IP-Adresse adressiert sind oder von ihr stam- 
men, nach den Kriterien des Filterprofils. 

In einer weiteren vorteilhaften Ausbildung weist die Vor- 



richtung zusatzlich die Funktionalitat eines bekannten Inter- 
net-Prbxys auf, der eine lokale Socket- Verbindung zum 
Nutzergerat aufbaut, iiber die der Informationsaustausch mit 
dem Internet erfolgt, wobei anhand der zumindest einmali- 
gen iibertragenen Nutzeridentifikationsdaten, die in Abhan- 
gigkeit zu der IP-Adresse des Nutzergerats stehen, die Bear- 
beitungseinheit das nutzerspezifische Filterprofil der IP- 
Adresse zuordnet. Die Funktionalitat eines Intemet-Proxys 
ist maBgeblich dadurch bestimmt, daB die IP-Adressen der 
Nutzergerate auf eine einheitliche IP-Adresse abgebildet 
werden, wobei. diese einheitliche IP-Adresse maskierte 
wird, um eine Rucktransformation zu erlauben. Weiterhin 
weist der Internet-Proxy eine Cache-Funktion auf, die es er- 
laubt, bereits abgerufene Informationen schneller bereitzu- 
stellen. 

Auch ist es moglich das gewurischte Ergebnis mit einem 
transparenten Internet-Proxy zu eireichen. Ein transparenter 
Proxy lauscht am. Informations verkehr zwischen den Nut- 
zergeraten und dem Internet. Es ist somit nicht notwendig, 
daB das Nutzergerat eine lokale IP- Verbindung zum Proxy 
aufbaut. Bei der Verwendung eines transparenten Proxy s ist 
es jedoch notwendig, daB das NAS (Network-Access-Sy- 
stem) bei jeder Einwahl eines neuen Nutzergerates IP- 
Adresse und Nutzeridentifikationsdaten an den Informati- 
onsfilter selbstandig iibertragt. 

Weiterhin wird die Aufgabe durch ein Verfahren zum in- 
dividuellen Filtern von iiber ein Netzwerk iibertragener In- 
formationen, die an ein Nutzergerat gerichtet sind, mit Nut- 
zerprofilen gelost. Nach der Zuordnung der Netzwerk- 
adresse des Nutzergerats zu einem Nutzerprofil anhand der 
zumindest einmalige ubertragenen Nutzeridentifikationsda- 
ten, werden die vom Nutzergerat angeforderten Informatio- 
nen anhand der im Nutzerprofil gespeicherten Regeln gefil- 
tert. Durch die Regeln werden Mengen an Informationen de- 
finiert, die an das Nutzergerat iibertragen werden durfen 
bzw. die nicht iibertragen werden durfen. Die so definierten 
Mengen konnen durch bekannte Mengenoperationen ver- 
kniipft werden. Diese Mengen konnen durch in den Infor- 
mationen enthaltene Worter, durch Domain-Namen, durch 
die Verweilzeit im Internet oder durch die GroBe der Infor- 
mationen bestimmt werden. 

Weitere vorteilhafte Ausfiihrungsformen sind in den Un- 
teranspnichen aufgefiihrt. Es folgt eine detaillierte Beschrei- 
bung anhand der Zeichnungen.. Es zeigt: 

Fig. 1 die Anordnung des Informationsfilter zwischen 
dem Internet und den Nutzergeraten, wobei die Nutzergerate 
iiber ein NAS mit dem Internet verbunden sind und die In- 
formationen entweder iiber den Informationsfilter oder ei- 
nen bereits vorhanden Proxy geleitet werden; 

Fig. 2 ein Ablaufdiagramm des Verbindungsaufbaus des 
Nutzergerats . mit dem NAS, wobei sich das Nutzergerate 
einwahlt und vom NAS eine IP-Adresse zu gewiesen be- 
kommt, die in Verbindung mit den Nutzeridentifikationsda- 
ten vom Informationsfilter ausgelesen werden kann, weiter- 
hin wird gleichzeitig eine Nutzerstatistik gefuhrt; 

Fig. 3 ein Ablaufdiagramm einer Anfrage eines Nutzerge- 
rats, die einmal iiber einen normalen Proxy geleitet wird und 
alternativ iiber einen erfindungsgemaBen Informationsfilter 
mit der Funktionalitat eines Proxys, der anhand der Regeln 
iiberpriift, ob eine Anfrage oder die Antwort auf eine An- 
frage zulassig ist; 

Fig. 4 ein Ablaufdiagramm einer Anfrage eines Nutzerge- 
rats, wobei iiberpriift wird, ob eine Anfrage zu diesem Zeit- 
punkt gestellt werden darf, ob die Internet Adressen zulassig 
ist, ob der angefragte Dateitypen zulassig ist und ob person- 
lie he Daten weitergegeben werden; . 

Fig. 5 ein Ablaufdiagramm einer Antwort auf eine An- 
frage eines Nutzergerats, wobei uberpruft wird, ob Schlag- 
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worter enthalten sind, die ausgeschlossen sind, ob die f Datei- 
groBe iiberschritten wurde, ob der Domain-Name in der Po- 
sitivliste enthalten war, wobei Statistiken gespeichert wer- 
den. 

, Die Fig. 1 zeigt den Informations filter 10 inseiner Anord- 
nung bei einem Provider 24, der einen Zugang zum Internet 
17 uber ein NAS (Network Access System) 26 ermoglicht. 
Ein Nutzer 23 wahlt sich iiber sein Nutzergerat 15 vorzugs- 
weise rnit Hilfe eines Modems beim Provider 24. ein. Andere 
Forrnen der Verbindung sind ebenfalls denkbar. So kann 
eine Einwahl iiber ein Kabelmodem, uber eine Standleitung 
oder iiber Funk erfolgen. 

Aufgrund der begrenzten Anzahl von IP-Adressen, die 
den Providem zugeteilt werden, werden diese dynamisch 
erst dann durch das NAS 26 zugeteilt, wenn sie benotigt 
werden. Hierzu wird eine Vorrichtung 13 zum zuweisen von 
IP-Adressen verwendet, die diese EP-Adressen iiber ein Mo- 
dem- oder ISDN-Pool 12, mit denen die Nutzergerates 15 in 
Verbindung stehen, an die Nutzergerate 15 weiterleitet. Das 
NAS 26 weist weiterhin einen nicht dargestellten Speicher- 
bereich auf, indem die Nutzeridentifikationsdaten abgelegt 
werden, um bei einer Einwahl uberpriifen zu konnen, ob der 
. jeweilige Nutzer ein Zugangsrecht hat oder nicht. Weiterhin 
bietet das NAS 26 die Moglichkeit von auBen auf die Nutze- 
ridentifikationdaten zuzugreifen die wiederum in Relation 
zu der zugewiesenen IP-Adresse gespeichert sind, sobald 
eine Verbindung aufgebaut wird. 

Anhand der Nutzeridentifikationsdaten wird ebenfalls der 
Bereich bzw. die Maske der IP-Adressen festgelegt, so daB 
ein Routing iiber einen Router 16 moglich ist. Hierdurch 
kann bereits zu diesem Zeitpunkt festgelegt werden, ob die 
Anfragen und Antworten des Nutzergerates 15 iiber den In- 
formations filter 10 geleitet werden sollen oder direkt ins In- 
ternet. Wie der Fig. 1 zu entnehmen ist, werden Informatio- 
nen, die nicht iiber den Informationsfilter 10 geleitet werden 
sollen, iiber einen bereits vorhandenen Proxy 11 geleitet. Al- 
temativ konnen diese Informationen auch direkt ins Inter- 
net, ohne dabei einen Proxy verwenden zu miissen, gesendet 
werden. 

Der Informationsfilter 10 weist ein Eingabegerate 20 und 
ein Ausgabegerat 21 auf, die im vorliegenden Beispiel so- 
wohl Ein- als auch Ausgabefunktionalitaten aufweisen. Das 
Eingabegerate 20 steht mit den Nutzergeraten 15 in Verbin- 
dung. Das Ausgabegerat 20 steht iiber den Router 16 mit 
dem Internet 17 in Verbindung. Weiterhin weist der Infor- 
mationsfilter 10 eine Bearbeitungseinheit 22 und einen Niit- 
zerprofilspeicher 18 auf. Im Nutzerprofilspeicher 18 sind 
Filterprofile 19 abgelegt, die ein Regelwerk fur Anfragen 
und Antworten beinhalten. 

Zusatzlich umfaBt der Informationsfilter 10, der vorzugs- 
weise die Funktionalitat eines Proxys oder eines transparent 
ten Proxys aufweist, einen Cache-Speicher 25 zum Zwi- 
schenspeichern von Informationen. Durch den Cache-Spei- 
cher 25 kann ein ZugrifT auf Informationen im Internet 17 
erheblich beschleunigt werden. Falls diese Information be- 
reits zu einem fruheren Zeitpunkt angefordert wurden, ist es 
nun nicht mehr notwendig, diese Informationen erneut aus 
dem Internet 17 zu laden. 

Der Fig. 2 ist der Ablauf der Anmeldung eines Nutzerge- 
rates 15 am NAS 26 zu entnehmen. Das Nutzergerates 15 
wahlt sich iiber den Modem- und ISDN- Pool 12 des NAS 26 
ein. Hierbei uberpriift das NAS 20 die Nutzeridentifikati- 
onsdaten, um festzustellen, ob das Nutzergerat 15 Zugang 
zum Internet 17 erhalten darf. Weiterhin iiberpruft das 
NAS 26 anhand der Nutzeridentifikationsdaten, welche IP- 
Adresse aus dem EP-Pool dem Nutzergerate 15 zugeordnet 
werden soli. Das NAS 26 iibermittelt an das Nutzergerat 15 
eine IP-Adresse und tragt diese IP-Adresse in eine interne 



Router-Tabelle ein, um ankommende Antworten an das 
. richtige Nutzergerat 15 weiterzuleiten. Weiterhin ordnete es 
die IP-Adresse den Nutzeridentifikationsdaten zu. 

Die. Fig. 4 zeigt die Bearbeitung einer Anfrage und einer 
5 Ant wort eines Nutzergerates 15, wobei unterschiedliche 
Wege beschritten werden. In der ersten Variante erfolgt die 
Anfrage uber einen Proxy 11, der keinen Filter aufweist. Bei 
einer Anfrage eines Nutzers wird iiberpruft, ob diese An- 
frage nicht bereits durch die Informationen im Cache-Spei- 
10 cher beantwortet werden kann. Sollte dies der Fall sein, so 
wird die Antwort aus dem Cache-Speicher gegeben. Ist die 
Seite nicht vorhanden, so wird eine Verbindung zum Interr 
net aufgebaut und die Seite z. B. von einem WWW-Server 
geladen. 

15 Bei einer Anfrage, die iiber den Informationsfilter 10 ge- 
routet wird, erfolgt, bevor die . Anfrage weitergeleitet wird, 
eine Uberpriifung anhand des Filterprofile 19, ob diese Aft 
von Datei von dieser Domain bzw. IP-Adresse zu der gege- 
benen Zeit geladen werden darf. Sollte ein Anfrage erlaubt 

20 sein, so wird, wie bereits oben beschrieben, der Cache-Spei- 
cher 25 iiberpruft, Ob die Anfrage durch zwischengespei- 
cherte Informationen beantwortet werden kann. Wenn dies 
nicht der Fall ist, wird die information aus dem Internet ab- 
gerufen. Die so geladenen Information werden im Cache- 

25 Speicher 25 zwischengespeichert. Bevor die Antwort an das 
Nutzergerat weitergeleitet wird, erfolgt eine Uberpriifung 
der Informationen anhand von Schlagworten. Sollte in der 
Antwort ein ausgeschlossenes Schlagwort gefunden wer- 
den, so wird die Antwort zuriickgehalten und einer weiteren 

30 Uberpriifung unterzogen . Diese weitere Uberpriifung erfolg t> 
anhand einer Positivliste, in der alle Domain bzw. IP-Adres-.* 
sen aufgefiihrt sind, deren Informationen die Schlagworte 
enthalten diirfen. So kann z. B. das Wort "Gewalt" in einem 
Artikel der Zeitschrift "Spiegel" aufgefiihrt werden, wbhin- 

35 gegen dieses Wort in einem anderem Zusammenhang ausge- 
schlossen werden soli. Eine Verkniipfung der Schlagworte 
mit den Eintragen der Positivliste ist individuell moglich. : 
Weiterhin sind alle Profileintrage variabel zu gestalten.s 
Nach der Uberpriifung der Positivliste wird die Antwort: 

40 auch auf ihre GroBe ubefpriift. Sollte die Antwort eine vor- 
geschriebene DateigroBe iiberschreiten, so wird die Antwort 
ebenfalls zuriickgehalten. . 

Weiterhin werde Statistiken iiber das Verhalten aller Nut- 
zer sowie Nutzerstatistiken fur einzelne Nutzer gefuhrt. Die 

45 Statistiken enthalten eine Reihe von Informationen. Mogli- 
che Informationen sind die Anzahl von ZugrifTen im Monat 
und am Tag, der Durchschnittswert pro Woche, Tag und 
Stunde, der Zugriff geofdert nach gewahlten Domain, z. B. 
Auswertung pro Land, der Zugriff geordnet nach gewahlten 

50 Internet- Adressen, die Anzahl und GroBe der heruntergela- 
dener Dateien, die z. B. nach Typ und GroBe geordnet sind. 
Die Auswertung kann dabei sowohl tabellarisch als auch 
graphisch veranschaulicht werde. Weiterhin konnen Anfra- 
gen und Antworten gespeichert werden, deren Zugriff bzw, 

55 deren Weiterleitung aufgrund der Regeln unzulassig war. 
Zusatzlich kann ein Zeitraum bestimmt werden, indem die 
Informationen gespeichert werden. Dies kann z. B. 12 Mo- 
nate sein. 

Die Fig. 4 zeigt einen detaillierten Ablaufplan der Filte- 
60 rung einer Anfrage. So wird zu Beginn iiberpruft, ob der 
Nutzer zum gegeben Zeitpunkt im Internet surfen bzw. ob er 
darauf zugreifen darf. Sollte dies der Fall sein, so wird als 
nachstes iiberpruft, ob die EP-Adressen, an die die Anfrage 
gerichtet ist, in einer Negativliste bzw. Blockingliste aufge- 
65 fuhrt ist. Diese Listen konnen von anderen Dienstanbietern, 
wie CyberPatrol, online bezogen werden. CybexPatrol ist 
ein Anbietem der das Internet regelmaBig auf Domains und 
EP-Adressen iiberpruft, deren Inhalt dem Anstandsgefuhl 
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des gewohnlichen Nutzers nicht entspricht. Auch kann diese 
Negativliste manuell erweitert werden. Sollte die IP-Adres- 
sen nicht in der Negativliste aufgefuhrt sein, so wird weiter 
uberpriift, ob der angefragt Dateityp iiberhaupt abgerufen 
werden darf. So konnen z. B. ftp-Auftrage unterbunden wer- 5 
den, durch die ausfiihrbare Dateien geladen werden, die 
moglicherweise Viren enthalten. Die Dateiliste enthalt eine 
Reihe von Dateitypen, die nicht aus dem Internet geladen 
werden durfen. 

Zuletzt wird uberpriift, ob personliche Daten weitergeben 10 
werden. Dies kann z. B. der Fall sein, wenn in Emails Pass- 
worter ubertragen werden. Femer kann verhindem werden, 
daB bestirnmte Dateitypen vom Nutzer versandt werden. 
Hierdurch wird sichergestellt, daB keine unternehmenswich- 
tigen Daten in das Internet gelangen. 15 

Fig. 5 zeigt den Ablaufplan der Filterung.bei Eintreffen 
der Antwort. Beim Eintreffen einer Antwort wird der ge- 
samte Inhalt der Antwortet uberpruft. Hierbei wird die ge- 
samte Datei auf Schlagworter uberpruft. Eine Liste von 
Schlagworter kann z. B. von anderen Diensten bezogen wer- 20 
den. Auch konnen sie manuell hinzugefugt werden. Sollten 
bestirnmte Schlagworter enthalten sein, so wird anhand ei- 
ner Positivliste uberpruft, ob von dieser IP-Adresse bzw. 
Domain Informationen bezogen werden durfen, die das 
Schlagwort enthalten. Nach dieser Uberpriifung wird die 25 
DateigroBe der Information ermittelt und mit der maximal 
zulassigen DateigroBe verglichen. Sollte auch dieses Krite- 
rium erfullt sein, so wird die Information zum Nutzer wei- 
tergeleitet. 

Der Benutzer bestimmt die Regeln entweder- durch ein- 30 
f ach gestaltete Formulare, in denen er ein vordefiniertes Re- 
gelwerk auswahlen kann, das individuell angepaBt werden 
kann, oder er sendet eine Email an einen entsprechenden 
Email-Server. Die in der Email definierten Regeln entspre- 
chen einer bestirnmten vorgegebenen Syntax. Der Email- 35 
Server verarbeitet diese Emails und tragt die Regeln in das 
entsprechende Filterprofil ein. 

Die so durch die Regeln bestirnmten Mengen konnen 
durch Mengenoperationen wie Vereinigung, Schnitt und 
Komplementarmenge miteinander verkriiipft werden. Hier- 40 
bei ist es nicht maBgeblich, ob die Regeln eine Antwort- 
menge oder eine Fragemenge bestimmt haben. 

Eine integrierte Firewall, die in der Regel eine Kombina- 
tion aus Hardware und Software darstellt, dient zum Schutz 
des Nutzergerates vor Angriffen aus dem Internet. Der ge- 45 
samte mformationsaustausch wird ausschlieBlich uber die 
Firewall gefuhrt. Die Firewall arbeiteten dabei aUf verschie- 
denen Ebenen. 

Ein Packet-Filter analysiert die Informationen, die in 
Form von Datenpaketen ubertragen werden, auf der Netz- 50 
werkschicht. 

Mit Hilfe eines Circuit- Relais werden alle Verbindung am 
Eingang der Firewall unterbrochen, urn sie dann am Aus- 
gang wieder aufzubauen, damit eine direkte Verbindung des 
Nutzergerates mit dem Internet auf der Protokollebene ver- 55 
hindern wird. 

Mit dem Application-Level- Gateway erfolgt ein Schutz 
auf der Anwendungsebenen. So wird fur jede Anwendung 
ein Gateway-Dienst (Proxy-Dienst) integriert, iiber den das 
Nutzergerat mit der entsprechenden Anwendung in das In- 60 
temet gelangt. Diese Gateway-Dienst gibt es z. B. fur Web- 
Browser und FTP-CUents: Hierdurch hat nur der Proxy Zu- 
gang zum Internet das Nutzergerate selber jedoch nicht. 

Eine weitere SchutzmaBnahmen ist, das die IP-Adressen 
der Nutzergerates durch den Firewall maskierte werden, so 65 
daB nur die erfindungsgemaBe Vorrichtung Verbindung mit 
dem Internet hat. 

Der Informationsfilter 10 ist vorzugsweise als Hochlei- 



stungsrechner ausgebildet, wobei die Bearbeitungseinheit 
22 aus einem oder mehreren Mikroprozessoren besteht. Das 
Eingabegerate 20 und das Ausgabegerat 21 sind Netzwerk- 
karten bzw. Netzwerk- Adapter die eine Verbindung zu den 
entsprechenden Netzwerken bereitstellen. Die Funktionali- 
tat dieses Hochleistungsrechners wird vorzugsweise durch 
Software bestimmt. 

Der Nutzerprofllspeicher 18 und der Cache-Speicher 25 
sind Standardspeichermedien wie Festplatten oder RAM- 
Speicher. Es ist ebenfalls moglich, daB der Zugriff auf den 
Inhalt der Speicher uber hoch performante Datenbanken er- 
folgt. 

Bezugszeichen 

10 Informationsfilter 
.11 Proxy, bereits vorhanden 

12 Modem-, ISDN-Pool 

13 Vorrichtung zum Zuweisen von IP-Adressen 

14 Wahlverbindungen 

15 Nutzergerate des Nutzers 

16 Router 

17 Netzwerk,. Internet 

18 Nutzerprofllspeicher 

19 Filterprofil 

20 Eingabegerat 

21 Ausgabegerat 

22 Bearbeitungseinheit 

23 Nutzer 

24 Provider 

25 Cache-Speicher 

26 NAS (Network Access System) 

Patentanspriiche 

1. Vorrichtung zum individuellen Filtem von uber ein 
Netzwerk (17) iibertragener Informationen, die an ein 
Nutzergerat (15) gerichtet sind, 

- mit mindestens einem Nutzerprofllspeicher 
(18), in dem nutzerspezifische Filterprofile (19) 
abgelegt sind, 

- mit mindestens einem Eingabegerat (20), das 
die zu filtemden Informationen aus dem Netzwerk 
(17) empfangt, 

- mit mindestens einem Ausgabegerat (21), das 
die gefilterten Informationen zum Nutzergerat 
(15) sendet, 

- mit mindestens einer Bearbeitungseinheit (22), 
die eine Netzwerkadresse des Nutzergerats (15) 
anhand der zumindest einmalig ubertragenen Nut- 
zeridentifikationsdaten dem nutzerspezifischen 
Filterprofil (19) zuordnet und die im folgenden 
anhand des Fiiterprofils (19) die Informationen 
aus dem Netzwerk (17), die unmittelbar oder mit- 
telbar an die entsprechenden Netzwerkadresse 
adressiert sind oder von ihr stammen, nach den 
Kriterien des Fiiterprofils (19) filtert. 

2. Vorrichtung nach Anspruch 1, gekennzeichnet 
durch . einen weiteren Informationsspeicher (25), der 
zum Cachen von Informationen aus dem Netzwerk 
(17) dient. 

3. Vorrichtung nach einem oder mehreren der Ansprii- 
che 1 oder 2, dadurch gekennzeichnet, 

- daB das Netzwerk (17) das Internet ist und die 
Vorrichtung (10) zwischen dem Internet (17) und 
dem Nutzergerat (15) angeordnet ist, und 

- das Eingabegerat (20) mit dem Internet (17) 
verbunden ist, um Informationen aus dem Internet 
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(17) zu empfangen, und 

- das Ausgabegerat (21), die gefilterten Ergeb- 
nisse aus dem Internet (17) an das Nutzergerat 
(15) ubermittelt, 

- daB die Bearbeitungseinheit (22) anhand iiber- 5 
tragener Nutzeridentifikationsdaten ein nutzerspe- 
zifischen Filterprofil (19) der IP-Adresse des Nut- 
zergerats (15) zuordnet und die Bearbeitungsein- 
heit (22) im folgenden anhand des Filterprofils 
(19) die Informationen aus dem Netzwerk (17), 10 
die unmittelbar oder mittelbar an die entspre- 
chende IP-Adresse adressiert sind oder von ihr 
stammen, nach den Kriterien des Filterprofils (19) 
filtert. 

4. Vorrichtung nach einem oder mehreren der Ansprii- 15 
che 1 bis 3, gekennzeichnet durch die Funktionalitat ei- 

. nes Internet-Proxy s, der eine lokale Socket- Verbindung 
zum Nutzergerat (15) aufbaut, iiber die der Informati- 
onsaustausch mit dem Internet (17) erfolgt, wobei an- 
hand der zumindest einmaligen ubertragenen Nutzeri- 20 
dentifikationsdaten, die in Abhangigkeit zu der IP- 
Adresse des Nutzergerates (15) stehen, die Bearbei- 
tungseinheit (22) das nutzerspezifische Filterprofil (19) 
der IP-Adresse zuordnet und im folgenden anhand des 
Filterprofils (19) die Anfragen des Nutzergerats (15) 25 
und die Informationen aus dem Internet (17), die von 
dem entsprechenden Nutzergerat (15) angefordert wur- 
den, nach den Kriterien des Filterprofils (19) filtert, um 
die gefilterten Informationen dann iiber die Socket- Ver- 
bindung zum Nutzergerat (15) zu iibertragen. 30 

5. Vorrichtung nach Anspruch 4» dadurch gekenn- 
zeichnet, daB bei einer vom Nutzergerat (15) angefrag- 
ten Information im Cache-Speicher (25) nach der In- 
formation gesucht wird, um beim Fehlen dieser Infor- 
mation, die Anfrage an das Internet (17) weiterzuleiten, 35 
wobei nach der Ankunft oder dem Auffinden der Infor- 
mation diese nur dann iiber die Socket- Verbindung an 
das Nutzergerat (15) weitergeleitet wird, wenn das Fil- 
terprofil (19) dies erlaubt. 

6. Vorrichtung. nach einem oder mehreren der Ansprii- 40 
che 1 bis 5, gekennzeichnet durch Merkmale der An- 
spriiche 7 bis 11. 

7. Vorrichtung zum Filtem von iiber ein Netzwerk (17) 
iibertragener Informationen, die an ein Nutzergerat 
(15) gerichtet sind, 45 

- mit mindestens einem Profilspeicher (18), in 
dem mindestens ein Filterprofile (19) abgelegt ist, 

- mit mindestens einem Eingabegerat (20), das 
die zu filternden Informationen aus dem Netzwerk 
(17) empfangt, 50 

- mit mindestens einem Ausgabegerat (21), das 
die gefilterten Informationen zum Nutzergerat 
(15) sendet, 

- mit mindestens einer Bearbeitungseinheit (22), 
das die Informationen in Form von Anfragen und 55 
Antworten des Nutzergerates (15) anhand des Fil- 
terprofils filtert, wobei das Filterprofil (19) durch 
Regeln bestimmt wird, das Zulassungsmengen 
oder AusschluBmengen fur Anfragen und/oder 
Antworten definieren, wobei diese Mengen durch 60 . 
bekannte Mengenopefatoren miteinander ver- . 
kniipft werden konnen. 

8. Vorrichtung nach Anspruch 7, dadurch gekenn- 
zeichnet, daB die Regeln Worter bestimmen, die in den 
Informationen enthalten sein durfen oder nicht. 65 

9. Vorrichtung nach einem oder mehreren der A nspru- 
che 7 und 8, dadurch gekennzeichnet, daB die Regeln 
Domain-Namen bestimmen, von denen die Informatio- 
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nen bezogen werden durfen oder nicht. 

10. Vorrichtung nach einem oder mehreren der An- 
spniche 7 bis 9, dadurch gekennzeichnet, daB die Re- 
geln die GrdBe, die Art und/oder den Zeitpunkt zum 
dem auf die Information zugegriffen wird begrenzen. 

11. Vorrichtung nach einem oder mehreren der An- 
spruche 7 bis 10, dadurch gekennzeichnet, daB die Re- 
geln nutzerspezifisch anderbar sind. 

12. Vorrichtung nach einem oder mehreren der An- 
spruche 1 bis 11, dadurch gekennzeichnet, daB eine 
Uberprufung der angeforderten Information auf Viren 
mit Hilfe von bekannten Erkennungsverfahren erfolgt. 

13. Vorrichtung nach einem oder mehren der Ansprii- 
che 1 bis 12, gekennzeichnet durch die Funktionalitat 
eines Firewalls, wobei 

- das Eingabegerat (20) als Ein- und Ausgabege- 
rat ausgebildet ist, 

- das Ausgabegerat (21) als Ein- und Ausgabege- 
rat ausgebildet ist, und 

- die Vorrichtung (10) iiber die Ein- und Ausga- 
begerate (20, 21) das Nutzergerat (15) physika- 
lisch mit dem Internet (17) verbindet und eine di- 
rekte physikalische Verbindung mit dem Internet 
(17) fur das Nutzergerat (15) nicht moglich ist. 

14. Vorrichtung nach einem oder mehren der Arispru- 
che 1 bis 13, dadurch gekennzeichnet, daB statistische 
Informationen iiber das Anfrageverhalten zu jedem 
Nutzerprofil gespeichert werden. 

15. Verfahren zum individuelleri Filtern von iiber ein 
Netzwerk iibertragener Informationen in Form von An- 
fragen und Antworten, die an ein Nutzergerat gerichtet 
sind, mit Nutzerprofilen, wobei 

- in einem ersten Schritt eine Netzwerkadresse 
des Nutzergerats dem Nutzerprofil anhand der zu- 
mindest einmalige ubertragenen Nutzeridentifika- 
tionsdaten zugeordnet wird, und 

- in einem weiteren Schritt die vom Nutzergerat 
angeforderten und gesendeten Informationen an- 
hand der Netzwerkadresse unmittelbar oder mit- 
telbar bestimmt werden und nach den im Nutzer- 
profil gespeicherten Kriterien gefiltert werden. 

16. Verfahren nach Anspruch 15, dadurch gekenn- 
zeichnet, daB beim Aufbau einer Verbindung zum 
Netzwerk durch ein Nutzergerat, die dem Nutzergerat 
zugewiesene Netzwerkadresse und die Nutzeridentifi- 
kationsdaten in Relation zu einander gespeichert wer- 
den und zur Auswahl des Nutzerprofils geladen werden 
konnen, wobei beim Aufbau der Verbindung iiberpruft 
wird, ob ein spezifisches Nutzerprofil vorhanden ist, 
um dieses, falls es vorhanden ist, zu aktivieren und eine 
Filterung der Informationen zu ermoglichen. 

17. Verfahren nach einem oder mehreren der Ansprii- 
che 15 und 16, dadurch gekennzeichnet, daB das Netz- 
werk das Internet ist, der Zugang zum Internet durch 
einen Network- Access-Server (NAS) erfolgt, der die 
Nutzeridentifikationsdaten in Relation mit der Netz- 
werkadresse speichert und einen Zugriff auf diese In- 
formationen erlaubt. 

18. Verfahren nach Anspruch 17, dadurch gekenn- 
zeichneti daB der NAS aktiv die Nutzeridentifikations^ 
daten dann ubermittelt, wenn sich ein neuer Nutzer an- 
gemeldet hat. 

19. Verfahren nach Anspruch 17, dadurch gekenn- 
zeichnet, daB der NAS passiv die Nutzeridentifikati- 
onsdaten ubermittelt, wenn eine Anfrage an inn gestellt 
wird. 

20. Verfahren nach einem oder mehreren der Ansprii- 
che 15 bis 19, dadurch gekennzeichnet, daB eine lokale 
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Netzwerkverbindung mit jedem Nutzergerat aufgebaut 
wird, iiber die Informationen in Form von Anfragen 
und Antworten ubertragen werden, wbbei die Netz- 
werkadressen der Nutzergerate bei einer Anfrage auf 
eine Netzwerkadresse mit einer entsprechenden Mas- 5 
kierung abgebildet werden und ins Internet weitergelei- 
tet; werden, und wenn die Antworten eintreffen wieder 
rucktransformiert werden. 

21. Verfahren nach einem oder mehreren der Ansprii- 
che 15 bis 20, dadurch gekennzeichnet, daB die Ant- 10 
worten iiber einen langeren Zeitraum zwischengespei- 
chert werden, um bei einer erneu ten. Anfrage eine kur- 
zere Antwortzeit zu erlangen, indem die zwischenge- 
speicherte Antworten iibertragen werden. 

22. Verfahren nach einem oder mehreren der Ansprii- 15 
che 15 bis 21, gekennzeichnet durch Merkmale einer 
oder mehrerer der Anspruche 23 und 24. 

23. Verfahren zum individuellen Filtern von iiber ein 
Netzwerk iibertragener Informationen in Form von An- 
fragen und Antworten, die an ein Nutzergerat gerichtet 20 
sind, dadurch gekennzeichnet, daB durch Regelri Men- 
gen an Anfragen und/oder Antworten definiert werden, 
die nicht weitergeleitet werden, wobei diese Menge 
durch bekannte Mengenoperatofen verknupft werden 
konnen. 25 

24. Verfahren nach Anspruch 22, dadurch gekenn- 
zeichnet, daB die Regeln durch in den Informationen 

.enthaltene Worter, durch Domain-Namen, durch die 
Verweilzeit im Internet und/oder durch die Grofie oder 
die Art der Informationen bestimmt werden. 30 
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